安恒信息云上密碼能力建設(shè)全知道

  • 人閱讀
  • 2023-08-04 17:28:17

  • 來(lái)源:咸寧新聞網(wǎng)

  • 相關(guān)關(guān)鍵詞

新版《商用密碼管理?xiàng)l例》已于7月1日正式施行,并持續(xù)受到社會(huì)各界的廣泛關(guān)注,而商用密碼如何在云環(huán)境下有效的應(yīng)用,是推廣商用密碼過(guò)程中繞不開(kāi)的話題。

一方面,云計(jì)算已經(jīng)成為數(shù)字化轉(zhuǎn)型的重要基礎(chǔ)設(shè)施,政務(wù)、運(yùn)營(yíng)商、金融、醫(yī)療、教育等各行業(yè)的業(yè)務(wù)應(yīng)用上云成為趨勢(shì),未來(lái)一定是商用密碼應(yīng)用的主要場(chǎng)景;同時(shí),數(shù)據(jù)泄露、越權(quán)訪問(wèn)等核心云安全風(fēng)險(xiǎn),商用密碼是經(jīng)濟(jì)又有效的解決手段。

然而,在實(shí)際進(jìn)行云上商用密碼能力建設(shè)的過(guò)程中,用戶將面臨部署兼容性、安全責(zé)任劃分、安全能力協(xié)同等諸多問(wèn)題,因此,在建設(shè)前做好充分的規(guī)劃尤為重要。

隨著云上密碼建設(shè)需求的逐漸旺盛,業(yè)界已涌現(xiàn)出多種云上密碼技術(shù)方案,同時(shí)結(jié)合密碼運(yùn)算的安全性考慮,基于密碼資源池提供服務(wù)化密碼能力已成為行業(yè)內(nèi)的主流選擇。但同樣是密碼資源池,也會(huì)因具體技術(shù)實(shí)現(xiàn)不同有細(xì)微差別,目前常見(jiàn)的幾種技術(shù)路線包括:

1、基于專用產(chǎn)品的硬件資源池

密碼服務(wù)能力的底層資源由專用密碼硬件設(shè)備提供,云租戶通過(guò)服務(wù)管理平臺(tái)僅使用其服務(wù),具體配置、運(yùn)維由平臺(tái)管理員統(tǒng)一處理。這種技術(shù)路線的結(jié)構(gòu)簡(jiǎn)單,但涉及的密碼硬件種類將隨租戶開(kāi)通的服務(wù)種類而增加,同時(shí)各租戶間沒(méi)有有效的數(shù)據(jù)隔離,即用傳統(tǒng)的防護(hù)思路來(lái)應(yīng)對(duì)云環(huán)境,隨著云計(jì)算規(guī)模的擴(kuò)大,短板劣勢(shì)將愈發(fā)明顯。

2、基于云服務(wù)器密碼機(jī)的密碼資源池

密碼服務(wù)能力的底層資源由云服務(wù)器密碼機(jī)提供,通過(guò)將各類密碼服務(wù)部署在虛擬密碼機(jī)VSM中,將VSM分配至指定租戶。相比于基于硬件的密碼資源池,這種技術(shù)路線實(shí)現(xiàn)了對(duì)專用密碼硬件的數(shù)量控制,同時(shí)租戶對(duì)密碼服務(wù)也具備更多的管理運(yùn)維功能,比較符合云計(jì)算虛擬化、彈性的建設(shè)思路。

然而,需要注意的是,當(dāng)前云服務(wù)器密碼機(jī)的虛擬化資源分配還無(wú)法達(dá)到通用服務(wù)器虛擬化那樣靈活,同時(shí)云上業(yè)務(wù)普遍偏小,這將導(dǎo)致分配給云租戶的密碼資源長(zhǎng)期處于低負(fù)載的狀態(tài),結(jié)合當(dāng)前密碼資源池較高的建設(shè)成本,容易導(dǎo)致此種技術(shù)路線失去性價(jià)比。

3、基于“通用算力+密碼算力”結(jié)合的密碼資源池

針對(duì)以云服務(wù)器密碼機(jī)為主的密碼資源池所面臨的問(wèn)題,安恒信息提出“通用算力+密碼算力”相結(jié)合的技術(shù)路線,即云租戶使用的密碼服務(wù)由承載密碼應(yīng)用功能的通用虛擬機(jī)ECS和承載密碼運(yùn)算功能的虛擬密碼機(jī)VSM組成,同一租戶的多項(xiàng)密碼服務(wù)可共用一臺(tái)虛擬密碼機(jī)VSM的算力,實(shí)現(xiàn)資源最大化利用,這樣既保證了租戶間的權(quán)限隔離及密碼運(yùn)算的安全性,同時(shí)也能夠提升虛擬密碼機(jī)VSM的利用率,有效控制密碼資源池的建設(shè)成本。當(dāng)密碼運(yùn)算性能不足時(shí)可平滑增加分配給租戶的VSM數(shù)量,滿足業(yè)務(wù)增長(zhǎng)對(duì)算力提升的需求。

安恒信息云上密碼能力建設(shè)全知道

云安全是長(zhǎng)期持續(xù)、體系化建設(shè)的過(guò)程,其中既包括以“檢測(cè)-防護(hù)-審計(jì)”為主的傳統(tǒng)網(wǎng)絡(luò)安全能力,也包括新興的數(shù)據(jù)安全、商用密碼能力建設(shè)。同時(shí)在新修訂的《商用密碼管理?xiàng)l例》中也提到:“商用密碼應(yīng)用安全性評(píng)估、關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估、網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)應(yīng)當(dāng)加強(qiáng)銜接,避免重復(fù)評(píng)估、測(cè)評(píng)”。這也意味著云安全建設(shè)應(yīng)從整體出發(fā),對(duì)所涉及的安全能力要進(jìn)行一體化考慮,才能使各類安全能力發(fā)揮出最大的效果。

安恒信息作為持續(xù)耕耘云安全領(lǐng)域的安全廠商,深知云安全一體化建設(shè)的重要性。因此,安恒信息以安恒云-天池云安全管理平臺(tái)為核心,為上云用戶提供一站式包括等保安全、數(shù)據(jù)安全、商用密碼在內(nèi)的多類安全能力,從建設(shè)到管理,從合規(guī)到實(shí)戰(zhàn),多維度滿足用戶的云安全需求,幫助用戶真正實(shí)現(xiàn)體系化的云安全建設(shè)。

對(duì)于云上密碼能力建設(shè),除了需要包含的能力種類與功能外,更應(yīng)由表及里、溯本求源,系統(tǒng)性的思考整體云安全體系與商用密碼能力的關(guān)系,同時(shí)注重整體技術(shù)路線的選擇,這樣才能本固枝榮,保障最終的商用密碼應(yīng)用效果。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )